1、对于路由器接口而言,ACL是有两个方向:注意:如果发现没有匹配的ACL规则,默认会丢弃该数据包,思科ACL规则默认会有一条隐藏的deny any any规则,而华三ACL规则默认是permit any any规则。入站-如果是入站访问列表,则当路由器接收到数据包时,Cisco IOS 软件将检查访问列表中的条件语句,看是否有匹配。如果数据包被允许,则软件将继续处理该数据包。如果数据包被拒绝,则软件会丢弃该数据包。出站-如果是出站访问列表,则当软件到接收数据包并将群其路由至出站接口后,软件将检查访问列表中的条件语句,看是否有匹配。如果数据包被允许,则软件会发送该数据包。4.ACL两种类型:标注:
2、允许在标准ACL和扩展ACL中使用名称代替访问控制列表号。4.1 标准的ACL根据数据包的源IP地址来控制允许转发或拒绝数据包,访问控制列表号199。标准访问控制列表配置命令如下:Router(config)#access-list access-list-number permit|deny source souce-wildcard或者Router(config)#ip access-list standard access-list-numberRouter(config-std-nacl)#Sequence Numberpermit|deny source souce-wildcard
3、下面是命令参数的详细说明access-list-number:访问控制列表号,标准ACL取值是1-99,可以使用名称替代列表号。Sequence Number:每条ACL规则列表序列号,可使用范围1-2147483647。permit | deny:如果满足规则,则允许/拒绝通过。source:数据包的源地址,可以是主机地址,也可以是网络地址4.2 扩展的ACL根据数据包的源IP地址、目的IP地址、指定协议,端口、标志和时间来控制允许转发或拒绝数据包,访问控制列表号100199扩展访问控制列表配置命令如下:Router(config)#access-list access-list-numbe
4、r permit|deny protocol source souce-wildcard destination destination-wildcard operator operanRouter(config)#ip access-list extended access-list-numberRouter(config-std-nacl)#permit|deny protocol source souce-wildcard destination destination-wildcard operator operan访问控制列表号,扩展ACL取值100-199,可以使用名称替代列表号。
5、permit|deny:protocol:用来指定协议的类型,如IP,TCP,UDP,ICMP等。source、destination:源和目的,分别用来标示源地址和目的地址。souce-wildcard、destination-wildcard:子网反码,souce-wildcard是源反码,destination-wildcard是目标反码。operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)、rand(范围端口号)等。5. ACL应用分类:Port ACL基于MAC的ACLACL应用在二层接口上,但二层接口只支持in方向,一个接口只能使用一条ACL规
6、则,IP或MAC的ACL都可以应用到二层接口,但不能应用到端口聚合(EtherChannel)VLAN ACL基于VLAN的ACL使用VLAN与VLAN之间的ACL,相同的VLAN也是可以过滤,只要流量进入或离开指定的VLAN都会被过滤,可以同时控制二层与三层流量。VLAN ACL只是VLAN调用了ACL规则,in或out的VLAN流量都会被检测,无论是通过二层转发还是三层转发。VLAN ACL是不能定义方向的,虽然VLNA调用ACL规则会有in或out选项,但只针对VLAN源地址和目标地址而言。VLAN调用ACL是不能实现vlan 10 ping不通vlan 20,但vlan 20 ping
7、通vlan10类似的功能,除非交换机支持自反ACL规则。Router ACL基于 IP 的ACLACL应用到三层接上,但只能是IP ACL,不能是MAC ACL,Router ACL是in和out方向都可以使用,每个接口每个方向只能使用一条ACL规则。Time ACL基于时间的ACLTime ACL是在原来的ACL规则上增加的功能,可以应用于二层或三层,在原来的ACL规则和时间相结合使用,控制起来将更加灵活多变。6.实例(VLAN ACL)配置VLAN ACL需要注意以下问题:1、VLAN ACL不能具体定义入站和出站规则,VLANACL的in和out是针对VLAN的本身而言,ACL源地址与应
8、用的VLAN相同网段时,就使用in方向,如果ACL目标地址与应用的VLAN相同网段时,就使用out方向。2、当数据包匹配思科ACL规则发现没有匹配的规则,则会匹配思科ACL默认一条隐藏的deny any any规则,默认丢弃该数据包。3、如果你删除access-list-number访问控制列表号,则access-list-number里的所有会被清除,建议进入每条access-list-number后在根据需求删除相应的序列号。4、ACL规则是按从上到下进行匹配,如果先匹配了后面就不会再进行匹配。7.设计思路:1、 一台核心思科3560交换机,三台汇聚思科2960交换机2、 3560交换机配
9、置VTP、VLAN、trunk3、 VLAN 30服务器192.168.30.30开启www服务,服务器192.168.30.31开启ftp8.实验拓扑图:10.配置(1)核心交换机3560SW#配置VTP服务器3650SWenable3650SW#vlan database3650SW(vlan)#vtp domain CCTV3650SW(vlan)#vtp server#创建VLAN3650SW(vlan)#vlan 10 name VLAN103650SW(vlan)#vlan 20 name VLAN203650SW(vlan)#vlan 30 name VLAN303650SW(v
10、lan)#exit#配置VLAN IP地址3650SW#configure terminal3650SW(config)#interface vlan 103650SW(config-if)#ip address 192.168.10.1 255.255.255.03650SW(config-if)#exit3650SW(config)#interface vlan 203650SW(config-if)#ip address 192.168.20.1 255.255.255.03650SW(config)#interface vlan 303650SW(config-if)#ip addre
11、ss 192.168.30.1 255.255.255.0#开启三层交换机默认路由3560SW(config)#ip routing#设置端口汇聚(trunk)3650SW(config)#interface range fastEthernet 0/22-243650SW(config-if-range)#3650SWport trunk encapsulation dot1q3650SW(config-if-range)#3650SWport mode trunk3650SW(config-if-range)#no shutdown3650SW(config-if-range)#exit(
12、2)2960交换机SW01#配置VTP客户端SW01#vlan databaseSW01(vlan)#vtp domain CCTVSW01(vlan)#vtp clientSW01(vlan)#exit#设置端口汇聚(trunk)SW01#configure terminalSW01(config)#interface fastEthernet 0/24SW01(config-if)#switchport mode trunkSW01(config-if)#no shutdownSW01(config-if)#exit#分配VLAN所属端口SW01(config)#interface ran
13、ge fastEthernet 0/1-5SW01(config-if-range)#switchport access vlan 10SW01(config-if-range)#switchport mode accessSW01(config-if-range)#no shutdownSW01(config-if-range)#exit(3)2960交换机SW02SW01(config-if-range)#switchport access vlan 20(4)2960交换机SW03SW01(config-if-range)#switchport access vlan 30重要操作*核心
14、交换机3560SW配置ACL规则*黑名单和白名单1、默认设置黑名单,再设置白名单。(如果ACL规则限制多推荐使用)2、默认设置白名单,再设置黑名单。(如果ACL规则限制少推荐使用)#查看ACL规则的相关命令3650W#show ip access-lists3650W#show ip access-lists 1023650W#show running-config#删除ACL规则的相关命令3650W(config)#ip access-list extended 1013650W(config-ext-nacl)#no 20*操作实验1:默认设置黑名单,再设置白名单*同网段的主机无法限制,扩
15、展ACL是按顺序执行#创建三条扩展ACL分别是禁止所有访问3650W#configure terminal3650W(config-ext-nacl)#1000 deny ip any any3650W(config)#ip access-list extended 1023650W(config)#ip access-list extended 103#创建的扩展ACL分别应用到不同的VLAN3650W(config)#interface vlan 103650W(config-if)#ip access-group 101 in3650W(config)#interface vlan 30
16、3650W(config-if)#ip access-group 103 in3650W(config)#interface vlan 203650W(config-if)#ip access-group 102 in1、配置192.168.10.10主机只允许与192.168.30.30主机相互访问3650W(config-ext-nacl)#10 permit ip host 192.168.10.10 host 192.168.30.303650W(config-ext-nacl)#10 permit ip host 192.168.30.30 host 192.168.10.102、配
17、置vlan 10与vlan 30所有主机相互访问3650W(config-ext-nacl)#20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.2553650W(config-ext-nacl)#20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.2553、配置vlan 10 所有主机只允许与 vlan 30的192.168.30.30主机相互访问3650W(config-ext-nacl)#30 permit ip 192.168.10.0 0.0.0.255 host 19
18、2.168.30.303650W(config-ext-nacl)#30 permit ip host 192.168.30.30 192.168.10.0 0.0.0.2554、配置192.168.30.30主机80端口只允许vlan 10的所有主机访问(不能反向访问192.168.10.10的80和21端口)3650W(config-ext-nacl)#40 permit tcp 192.168.10.0 0.0.0.255 host 192.168.30.30 eq www3650W(config-ext-nacl)#40 permit tcp host 192.168.30.30 19
19、2.168.10.0 0.0.0.2555、配置192.168.30.30 主机 80/21端口只允许192.168.10.10主机访问(不能反向访问192.168.10.10的80和21端口)3650W(config-ext-nacl)#50 permit tcp host 192.168.10.10 host 192.168.30.30 range 80 213650W(config-ext-nacl)#50 permit tcp host 192.168.30.30 host 192.168.10.10*操作实验2:默认设置白名单,再设置黑名单*#创建一条扩展ACL分别是允许所有访问36
20、50W(config-ext-nacl)#1000 permit ip any any3650W(config-if)#ip access-group 103 out1、禁止vlan 10 vlan 20所有主机不能访问192.168.30.30主机的80端口,但允许192.168.30.30.主机去访问任何主机的80端口3650W(config-ext-nacl)#10 deny tcp any host 192.168.30.30 eq www2、禁止192.168.30.30.主机去访问vlan 10和vlan 20任何主机的80端口3650W(config-ext-nacl)#20 deny tcp host 192.168.30.30 any eq www
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1